之前并没有发现过有macOS系统的劫持DNS设置的恶意软件，所以研究人员对该恶意软件（OSX/MaMi）进行了深入分析。

　　根据WhatsYourSign的显示，该文件并没有什么特别的，知识一个未签名的64位可执行文件。

　　当然了，一般新的恶意软件出现后，杀毒软件等都不能及时检测。VirusTotal的59个引擎都把该恶意软件标记为clean了。

　　通过对该恶意软件分析，我们发现他的app版本号为1.1.0，这就说明该恶意软件发布时间应该不久。

　　通过分析objective-C的类名和方法可以对恶意软件的功能有个大致的了解。文中研究人员用了J. Levins invaluable jtool攻击来复制这些信息：

　　看起来，这个恶意软件好像是一个dns劫持工具，因为其中一个method是setupDNS，其他的功能有：

　　可以通过Keychain Access应用来查看安装的证书，它是在系统keychain中作为根CA的（可能是MITM攻击）

　　还记得上面解密的配置信息吗，里面有两个IP地址（82.163.143.135，82.163.142.137），这两个IP地址就被加入到plist文件中了。

　　但是该恶意软件好像并没有长期驻留的意思，虽然它更改了系统的DNS设定，但是也有自删除功能。当研究人员控制该恶意软件来执行修改plist的方法initMaMiSettings时，ProgramArgumentskey中配置的值非常简单，该值是告诉系统哪些是要持续执行的：

　　OSX/MaMi并没有运用什么先进的技术，只是以一种简单、持久的方式改变了系统设置。通过安装根证书和劫持DNS，攻击者可以执行中间人攻击，窃取用户身份凭证、注入广告等。

　　Q: 用户如何知道有没有感染该恶意软件？A: 检查DNS设置，如果DNS被设置为82.163.143.135和82.163.142.137，说明感染了恶意软件。通过可以检查有没有恶意证书如果安装的话:

　　Q: 如何自我保护?A: 一般恶意软件会安装其他的恶意软件，或者允许远程攻击者执行一些命令。因此，如果用户发现感染了该恶意软件，最好的方式就是重装系统。如果用户不愿意重装系统，那么至少要删除恶意DNS设置并且移除安装的恶意证书。

　　打开系统设置，点击网络—高级—DNS，如果设备感染，就会看到恶意的DNS服务器地址82.163.143.135和82.163.142.137。选择每个地址，点击删除按钮。

　　打开Keychain Access应用，点击系统，如果系统设置（system），如果设备感染，就会看到恶意的证书，点击删除进行移除。